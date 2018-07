Na internet, é cada vez mais importante poder confiar em algo. Em sua origem, entre acadêmicos, acreditava-se sempre na declaração dos colegas. Muitos dos protocolos como o do “correio eletrônico” por exemplo, foram escritos em analogia a serviços tradicionais. “Cartas” são encaminhadas ao destinatário sem que se viole o conteúdo ou, sequer, se verifique se o remetente é quem diz ser. A rede trabalha sem questionamentos ao transportar e entregar “cartas”.

O que era nobre e elegante, entretanto, passou a ser abusado e o “spam” tornou-se praga. Uma eficiente forma de combater pragas trazidas pela tecnologia é adotar antipragas também tecnológicas, e assim, por exemplo, conseguiu-se atenuar os efeitos do “spam” sobre todos nós.

O mesmo ocorre em endereçamento de máquinas e serviços. Para chegar a algum lugar na rede precisamos do “endereço IP” daquele lugar. Uma poderosa estrutura distribuída e hierárquica chamada DNS (Domain Name System) traduz o nome do destino para um endereço, e também aí confiança era pressuposto:

“Ei, eu quero ligar para o João. Qual é mesmo o telefone dele?

- 99991111

- Ah, obrigado”.

Claro que pode aparecer algum “espírito deletério” que, ouvindo a pergunta sobre o João, forja uma resposta falsa: 99992222. Acabaríamos ligando para o João errado e, pior, se houvesse má intenção, é bem capaz que um “pseudo João” atendesse e acabássemos passando a ele informações que só deveriam ser dadas ao verdadeiro João. É uma das formas de desviar incautos para páginas falsas, implementando o “phishing”, que pode ser traduzido livremente como “pescaria em águas turvas”.

A saída é recorrer de novo à tecnologia: o DNS ganha uma extensão chamada DNSSEC (“SEC” de “seguro”). Agora a resposta à pergunta sobre o “telefone do João” virá com uma assinatura verificável, garantindo assim ser verdadeira. Com DNSSEC, quem realmente conhece o telefone do João assina a resposta, dando ao usuário a certeza de estar ligando ao João real.

Funciona em cadeia hierárquica: o domínio .br, assinado pela raíz da Internet, garante por sua vez a existência de seu segundo nível. No segundo nível há subdomínios obrigatoriamente assinados, como o b.br (bancos) e jus.br (judiciário), enquanto em outros a decisão de assinar ou não é de quem opera o domínio. E o .br acaba de atingir 1 milhão de domínios assinados com DNSSEC, ficando entre os cinco maiores usários de DNSSEC do mundo. Bom pra nós!

A tendência clara é, paulatinamente, embutir “confiança” na própria estrutura da rede. Se antes usava-se um terceiro para “reconhecer nossa firma”, cada vez mais a própria rede cria mecanismos automáticos que proveem formas seguras de autenticação.

Estamos ainda longe de dispensar cartórios, certificados e carimbos, mas o DNSSEC é um exemplo de círculo virtuoso na segurança. Outro caso atual que pode tornar-se comum em breve é a tecnologia “blockchain”, aquela por trás de moedas virtuais. O “blockchain” se propõe a manter na rede uma estrutura disseminada de confiança não fraudável. Mostra que eventualmente poderemos prescindir do aval de alguém confirmando o que possuímos, seja um valor ou outro bem qualquer.

São tempos interessantes...